CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-8673
Medium

Podatność w oprogramowaniu syslink AG Avantra na systemach Linux i Windows polega na braku ochrony transportu poświadczeń, co umożliwia ataki sniffingowe. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-8672
Medium

Wykryto podatność na użycie domyślnego hasła w oprogramowaniu syslink AG Avantra na systemach Linux i Windows, co umożliwia próby logowania przy użyciu powszechnych lub domyślnych nazw użytkowników i haseł. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-5072
Medium

A bitwise shift vulnerability in Zephyr's PTP subsystem allows a remote attacker to cause undefined behavior and potential system crashes. An attacker sends a crafted PTP_MSG_MANAGEMENT message to set an unvalidated negative log_announce_interval value, leading to undefined behavior when processing a subsequent PTP_MSG_ANNOUNCE message. This can result in system crashes or logical errors.

CVE-2026-44409
Medium

W ZTE MU5250 występuje podatność na ujawnienie informacji spowodowana niewłaściwą konfiguracją mechanizmu kontroli dostępu. Atakujący mogą uzyskać dostęp do informacji bez autoryzacji.

CVE-2026-4929
Medium

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

CVE-2026-4093
Medium

W module Term Reference Tree dla Drupal 7 istnieją dwa wektory XSS, które są przechowywane w procesie renderowania widgetu/formatera. Atakujący może wstrzykiwać złośliwy kod HTML/JS poprzez nieprawidłowo sanitizowane dane w szablonach tokenów oraz etykietach terminów taksonomii.

CVE-2026-6841
Medium

Request Tracker jest podatny na odzwierciedloną podatność typu cross-site scripting (XSS) poprzez parametr 'Page' w żądaniach GET. Atakujący może stworzyć URL, który po otwarciu powoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-43496
Medium

In the Linux kernel, a vulnerability was found in the RED (Random Early Detection) qdisc. When RED has a child qdisc (e.g., QFQ) that uses a peek() callback returning already dequeued packets (qdisc_peek_dequeued()), calling dequeue() on RED can cause a NULL pointer dereference and kernel panic. The fix replaces the direct dequeue call with qdisc_dequeue_peeked() to properly handle packets from the gso_skb queue.

CVE-2026-0393
Medium

Podatny produkt może ujawniać dane uwierzytelniające zdalnie pomiędzy użytkownikami o niskich uprawnieniach podczas równoczesnych operacji logowania z powodu niewystarczającej izolacji danych uwierzytelniających. Podatność dotyczy jedynie operacji logowania w aktywnej sesji wizualizacji.

CVE-2026-2734
Medium

W wersjach mlflow/mlflow do 3.9.0, punkt końcowy REST API `SearchModelVersions` oraz zapytanie GraphQL `mlflowSearchModelVersions` nie mają odpowiednich kontroli autoryzacji dla poszczególnych modeli, gdy włączona jest podstawowa autoryzacja. To pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich wersji modeli we wszystkich zarejestrowanych modelach, niezależnie od poziomu uprawnień.

CVE-2026-9149
Medium

A heap buffer overflow vulnerability was found in the libsolv library. The issue occurs when processing a specially crafted `.solv` file containing negative size values in the `repo_add_solv` function, leading to undersized memory allocation and an out-of-bounds write.

CVE-2026-9150
Medium

A stack-based buffer overflow vulnerability was found in libsolv's Debian metadata parser when processing specially crafted repository metadata. An attacker can exploit malicious SHA384 or SHA512 checksum tags, causing memory corruption and denial of service (DoS).

CVE-2026-9136
Medium

A vulnerability was identified in the ShadowAttribute proposal creation workflow that allowed updating existing records instead of creating new ones. A user could submit the identifier of an existing ShadowAttribute, leading to unauthorized modifications.

CVE-2026-9124
Medium

Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 148.0.7778.179 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9122
Medium

W Google Chrome na Mac przed wersją 148.0.7778.179 wystąpił błąd odczytu poza zakresem w GPU, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-9087
Medium

A flaw was found in Keycloak where the cross-session verification proof is keyed only by (local userId, idpAlias) and is not bound to the upstream identity that was actually verified, allowing a second upstream account on the same IdP to consume it and get linked to the victim's local account.

CVE-2026-20199
Medium

A vulnerability in SSL certificate handling of Cisco ThousandEyes Virtual Appliance allows an authenticated remote attacker to execute code as root on the underlying OS. The issue is due to insufficient input validation.

CVE-2026-4293
Medium

The affected Kieback & Peter DDC building controllers are vulnerable to cross-site scripting, allowing JavaScript to be executed by the victim's browser, enabling the attacker to control the browser.

CVE-2026-44390
Medium

Unbound up to version 1.25.0 has a denial-of-service vulnerability when handling DNS replies with very large RRsets that do not share a suffix above the root. Name compression for such replies can lock the CPU, causing performance degradation and denial of service.

CVE-2026-42534
Medium

A vulnerability in Unbound up to version 1.25.0 affects the jostle logic for replacing slow queries. Retransmits of the same query update its timestamp, preventing the logic from treating it as aged and replacing it with new queries. An attacker can exploit this to degrade resolution performance.

PreviousPage 223 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS